Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le Groupe Rocher adosse la sécurité de ses sites internet aux services de sécurité managés d’Intrinsec

mars 2015 par Marc Jacob

Aujourd’hui intégré au tableau de bord de la DSI, le suivi des vulnérabilités réalisé par le SOC Intrinsec permet à l’équipe sécurité du Groupe Rocher d’identifier et de corriger des failles qui auraient pu se révéler critiques.

Un objectif : systématiser et globaliser les tests de vulnérabilités

Avec plus de 55 ans d’existence, le pionnier de la cosmétique végétale compte aujourd’hui plus d’une centaine de sites web, ainsi qu’une cinquantaine de points d’accès internet : les sites institutionnels des marques, mais aussi des sites événementiels, des extranets du Groupe, ainsi que les sites de e-commerce, particulièrement sensibles.

Un environnement critique et conséquent que le RSSI du Groupe, Eric de Bernouis, a tenu à soumettre à des tests de vulnérabilités de manière régulière : « nous avions déjà mis en place quelques tests, mais de manière ponctuelle et pas nécessairement sur l’ensemble des sites à chaque fois. Nous avons souhaité en 2013 systématiser cette démarche et mettre en place régulièrement des tests, à une fréquence périodique », explique-t-il.

L’organisation sécurité du Groupe Rocher au niveau monde, malgré sa taille, ne peut pas prendre en charge cette mission opérationnelle et doit se concentrer sur la liaison avec les métiers et les thématiques régionales. Eric de Bernouis décide donc de faire appel à un prestataire extérieur. Toutefois, bien que le Groupe soit habitué à externaliser une partie de ses services informatiques, il s’agissait là d’une mission de sécurité critique, pour laquelle il était fondamental de choisir un partenaire de confiance et nécessaire de disposer de fortes garanties en termes d’expertise.

Intrinsec : un choix qui s’est imposé

Après un appel d’offres lancé en 2013, Intrinsec est choisi pour assurer cette mission. Un choix clair et évident, comme l’explique le RSSI : « dès le début et la réalisation d’un POC, la solution technique proposée par Intrinsec a été validée. Quant à leurs capacités à prendre en charge ce type de prestation, avec des livrables précis et une démarche rodée, nous avons été très rapidement rassurés.

Les certifications pointues qu’ils ont obtenues en matière de sécurité, ainsi qu’une totale transparence de leurs activités et de leur manière de fonctionner ont achevé de nous convaincre ».

La solution mise en place depuis plusieurs mois prévoit des analyses sur tous les sites internet du Groupe, plusieurs fois par an. Après chaque campagne d’analyse, Intrinsec livre des synthèses et rapports, mettant en avant les risques et évolutions, et présentant surtout des recommandations conceptualisées et pertinentes  : « grâce à cette solution et à leur expertise, Intrinsec nous a permis d’identifier et de corriger des failles qui auraient pu se révéler critiques », se réjouit Eric de Bernouis.

Le Groupe Rocher peut accéder en permanence aux résultats via un portail, et interagir avec son plan d’action pour améliorer le scoring de sécurité et informer le SOC Intrinsec de l’avancement, informations prises en compte dans les analyses.

« Ce portail et la dimension industrielle de la solution permettent à l’équipe sécurité d’avoir une visibilité globale et complète de la sécurité de l’ensemble des sites du Groupe », ajoute Nicolas Loyer, responsable de la mission chez Intrinsec.

Des tests sont également appliqués de manière ponctuelle, à la demande, pour tester par exemple une évolution avant sa publication.

Evolutions de la démarche : tests d’intrusion et cyber threat intelligence Aujourd’hui, après seulement quelques mois de mise en place, la gestion des vulnérabilités a été intégrée au tableau de bord de la DSI comme un indicateur clé et est devenu un réel attendu par la direction.

« Au-delà de leurs compétences, indéniables, nous apprécions particulièrement la disponibilité et la réactivité des équipes Intrinsec. Ils ne sont pas bloqués dans des processus et des cadres de mission immuables. Ils évoluent avec nous et avec nos besoins, voire même les anticipent. Une vraie confiance s’est aujourd’hui installée  », conclut Eric de Bernouis.

Cette montée en maturité a également permis d’élargir les perspectives et de renforcer le dispositif de sécurité par des tests d’intrusion et un service managé de surveillance des menaces externes via le CERT-Intrinsec (détection de compromission, de fuites d’informations, …)




Voir les articles précédents

    

Voir les articles suivants